網络安全管理标准BS799.docVIP

网络安全管理标准BS799下载（中文）-1  管理 BS 7799-1:1999 第一部分：信息安全管理 业务手则 前言 BS 7799 本部分内容，即信息安全管理，是在 BSI/DISC??委员会 BDD/2 指导下完成的。它取代了已经停止使用的 BS 7799:1995。 BS 7799 由两个部分组成： l?????? 第一部分：信息安全管理业务守则； l?????? 第二部分：信息安全管理系统规范。 BS 7799-1 首发于 1995 本标准使用组织这一术语，既包括赢利性组织，也包括诸如公共部门等非赢利性组织。 1999 年的修订版考虑到必威体育精装版的信息处理技术应用，特别是网络和通讯的发展情况。它也更加强调了信息安全所涉及的商业问题和责任问题。  British Standard 作为一个业务守则，在形式上采用指导和建议结合的方式。在使用时，不应该有任何条条框框，尤其特别注意，不要因为要求遵守守则而因噎废食。 本标准在起草时就已经假定一个前提条件，即标准的执行对象是具有相应资格的、富有经验的有关人士。附件 A 的信息非常丰富，其中包含一张表，说明了 1995 年版各部分与 1999 年版各条款间的关系。British Standard British Standards 的用户对他们正确使用本标准自负责任。  British Standard 不代表其本身豁免法律义务。 什么是信息安全？ 信息是一种资产，就象其它重要的商业资产一样，它对一个组织来说是有价值的，因此需要妥善进行保护。信息安全保护信息免受多种威胁的攻击，保证业务连续性，将业务损失降至最少，同时最大限度地获得投资回报和利用商业机遇。信息存在的形式多种多样。它可以打印或写在纸上，以电子文档形式储存，通过邮寄或电子手段传播，以胶片形式显示或在交谈中表达出来。不管信息的形式如何，或通过什么手段进行共享或存储，都应加以妥善保护。 信息安全具有以下特征： a)????必威体育官网网址性：确保只有经过授权的人才能访问信息； b)????完整性：保护信息和信息的处理方法准确而完整； c)????可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。  为什么需要信息安全 信息和支持进程、系统以及网络都是重要的业务资产。为保证组织富有竞争力，保持现金流顺畅和组织赢利，以及遵纪守法和维护组织的良好商业形象，信息的必威体育官网网址性、完整性和可用性是至关重要的。 各个组织及其信息系统和网络所面临的安全威胁与日俱增，来源也日益广泛，包括利用计算机欺诈、窃取机密、恶意诋毁破坏等行为以及火灾或水灾。危害的来源多种多样，如计算机病毒、计算机黑客行为、拒绝服务攻击等等，这些行为呈蔓延之势遍、用意更加险恶，而且手段更加复杂。组织对信息系统和服务的依赖意味着自身更容易受到安全威胁的攻击。公共网络与专用网络的互联以及对信息资源的共享，增大了对访问进行控制的难度。分布式计算尽管十分流行，但降低了集中式专家级控制措施的有效性。很多信息系统在设计时，没有考虑到安全问题。通过技术手段获得安全保障十分有限，必须辅之以相应的管理手段和操作程序才能得到真正的安全保障。确定需要使用什么控制措施需要周密计划，并对细节问题加以注意。 作为信息安全管理的最基本要求，组织内所有的雇员都应参与信息安全管理。信息安全管理还需要供应商、客户或股东的参与。也需要参考来自组织之外的专家的建议。 如果在制定安全需求规范和设计阶段时就考虑到了信息安全的控制措施，那么信息安全控制的成本会很低，并更有效率。 如何制定安全要求 组织确定自己的安全要求，这是安全保护的起点。安全要求有三个主要来源。第一个来源是对组织面临的风险进行评估的结果。通过风险评估，确定风险和安全漏洞对资产的威胁，并评价风险发生的可能性以及潜在的影响。 第二个来源是组织、其商业伙伴、承包商和服务提供商必须满足的法律、法令、规章以及合约方面的要求。 第三个来源是一组专门的信息处理的原则、目标和要求，它们是组织为了进行信息处理必须制定的。 评估安全风险 安全要求是通过对安全风险的系统评估确定的。应该将实施控制措施的支出与安全故障可能造成的商业损失进行权衡考虑。风险评估技术适用于整个组织，或者组织的某一部分以及独立的信息系统、特定系统组件或服务等。在这些地方，风险评估技术不仅切合实际，而且也颇有助益。 进行风险评估需要系统地考虑以下问题： a)????安全故障可能造成的业务损失，包含由于信息和其它资产的必威体育官网网址性、完整性或可用性损失可能造成的后果； b)????当前主要的威胁和漏洞带